KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN

Untuk menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik
agar aman dari ancaman baik dari dalam atau dari luar dan untuk mengurangi
kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengan
kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.

KEAMANAN INFORMASI
Mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data
dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan Keamanan Informasi
a. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari
pengungkapan orang-orang yang tidak berwenang.
b. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan
data dan informasi bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
c. Integritas. Semua sistem informasi harus memberikan representasi akurat atas
sistem fisik yang direpresentasikannya.

Manajemen Keamanan informasi

Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen
keamanan informasi (information security management ISM ), sedangkan aktivitas
untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity
management BCM).
Manajemen keamanan informasi terdiri atas empat tahap yakni:
a. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi
perusahaan
b. Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut.
c. Menentukan kebijakan keamanan informasi
d. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

ANCAMAN
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan baik bersifat internal serta eksternal dan bersifat
disengaja dan tidak disengaja.

Ancaman Internal dan Eksternal

Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman
internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika
dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal
yang lebih mendalam akan sistem tersebut.
Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama
dengan produk perusahaan atau disebut juga pesaing usaha.

Jenis- Jenis Ancaman:

Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang
tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus
file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis peranti lunak
yang berbahaya, yakni:
a. Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa
dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada
program-program dan boot sector lain
b. Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem,
tetapi dapat menyebarkan salinannya melalui e-mail
c. Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya
sendiri, namun disebarkan sebagai perangkat.
d. Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program yang mengumpulkan data dari mesin pengguna.

RISIKO
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a. Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis
data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi
ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut.
c. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat
merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
d. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan
para pengguna output sistem tersebut mengambil keputusan yang salah.

PERSOALAN E-COMMERCE
E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari
pemalsuan kartu kredit.

Kartu Kredit Sekali pakai

Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin
membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web
perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit
pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian
melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
1. Menyaring karyawan yang memiliki akses terhadap data
2. Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3. Menghancurkan data jika tidak dibutuhkan lagi
MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut.

Tingkat keparahan dampak dapat diklasifikasikan menjadi:

1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
2. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya
yang signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan
yang terjadi dalam operasional sehari-hari.

PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi
perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada
perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori,
yaitu :
1. PENGENDALIAN TEKNIS
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu
didalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan
system.
1. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang
tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang
tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi,
maka pengrusakan tidak dapat dilakukan.

Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:

1. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka
dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi.
2. Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna
memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki,
sepertismart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna
dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri,
seperti tanda tangan atau suara atau pola suara.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat
penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi
hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain
dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.

2. System Deteksi Gangguan

Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu
contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang
telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak
tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.

3. Firewall
Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data
dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu
pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman
terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan
peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com )
sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian
produk antivirus mereka.

Ada tiga jenis firewall, yaitu:

1. Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran
lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka
router dapat berlaku sebagai firewall. Router dilengkapi dengan table data dan
alamat-alamat IP yang menggambarkan kebijakan penyaringan.
2. Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah
firewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi
lebih dekat dengan medium komunikasi (sirkuit) daripada router.
3. Firewall Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang
menajalankan aplikasi tersebut. firewall yang paling efektif, namun cenderung untuk
mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan
harus penulis kode program yang spesifik untuk masing-masing aplikasi dan
mengubah kode tersebut ketika aplikasi ditambahkan, dihapus,dimodifikasi.

4. Pengendalian Kriptografis
Pengendalian dengan cara memecah kata-kata atau informasi menjadi kode-kode
yunani.
5. Pengendalian Fisik
Pengendalian fisik yang terlihat. Contoh : CCTV, lampo sorot, pengawasan.

2. PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda
dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen
menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam
bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.

3. PENGENDALIAN INFORMAL
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan tersebu

DUKUNGAN PEMERINTAH DAN INDUSTRI

Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar
yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan
informasi. Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi
sebelumnya sebagai penyedia strategi alternative untuk manajemen resiko. Organisasi
tidak diwajibkan mengikuti standar ini, namun standar ini ditujukan untuk
memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan.
contohnya : BS7799 Milik Inggris dan BSI IT Baseline Protection Manua

ANAJEMEN KEBERLANGSUNGAN BISNIS

Manajemen keberlangsungan bisnis (bussines continuity management BCM) adalah
aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguang
sistem informasi.

1. Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang

akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup
sistem alarm,prosedur evakuasi dan sistem pemadaman api.
2. Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan
tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak
digunakan.
Cadangan ini dapat diperoleh melalui kombinasi dari :
1. Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika satu
set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
2. Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang
sama,komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
3. Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan
yang sama sehingga masing-masing perusahan dapat menyediakan cadangan
kepada yang lain jika terjadi bencana besar.
3. Rencana catatan penting. Catatan penting (vital records) perusahaan adalah
dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang
penting untuk meneruskan bisnis perusahaan tersebut. Semua jenis catatan dapat
secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat
ditransmisikan secara elektronik.